PT-2020-5788 · Squid+8 · Squid+9
Publicado
2020-03-14
·
Atualizado
2025-11-07
·
CVE-2019-18860
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do Squid anteriores à 4.9
Versões do Squid da 4.6 à 4.6-1+deb10u3
Versões do Squid 3.5.23-5+deb9u2 e anteriores
Versão do Squid 4.10-alt1
Versões do Squid 4.16-1.5
Descrição
O Squid, um servidor de cache proxy de alto desempenho, está afetado por várias falhas de segurança. Estas incluem validação incorreta de entradas e tratamento inadequado de solicitações de URL, o que poderia permitir a contornar restrições de acesso para servidores HTTP restritos e causar uma negação de serviço. Além disso, o software trata incorretamente o HTML no parâmetro
host do cachemgr.cgi, podendo levar a scripts entre sites (XSS). As vulnerabilidades também podem resultar em cache poisoning e validação incompleta de nomes de host no cachemgr.cgi. O script cachemgr.cgi está vulnerável devido ao tratamento inadequado de HTML no parâmetro host quando determinados navegadores da web são utilizados. O endpoint da API /cachemgr.cgi está afetado, sendo o parâmetro host a entrada vulnerável.Recomendações
Atualize para a versão 4.9 ou posterior do Squid.
Atualize para a versão 4.6-1+deb10u3 ou posterior do Squid.
Atualize para a versão 3.5.23-5+deb9u2 ou posterior do Squid.
Atualize para a versão 4.10-alt1 do Squid.
Atualize para a versão 4.16-1.5 do Squid.
Correção
Special Elements Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Centos
Linuxmint
Red Hat
Rocky Linux
Squid
Squid Cache
Suse
Ubuntu